Beruflich Dokumente
Kultur Dokumente
Forschungsbericht
Das Sanktionsregime der Datenschutz-
Grundverordnung
Auswirkungen auf Unternehmen und Daten-
schutzaufsichtsbehörden
Forschungsbericht
Das Sanktionsregime der Datenschutz-
Grundverordnung
Auswirkungen auf Unternehmen und Daten-
schutzaufsichtsbehörden
Autorinnen und Autoren:
Nicholas Martin1, Tamer Bile2, Maxi Nebel2, Felix Bieker3, Christian Geminn2, Alexander Roßnagel2,
Charlotte Schöning4
Herausgeber:
Michael Friedewald, Regina Ammicht Quinn, Marit Hansen, Jessica Heesen, Thomas Hess, Nicole Krämer,
Jörn Lamla, Christian Matt, Alexander Roßnagel, Michael Waidner
Inhalt
1 Einleitung ........................................................................................................... 5
Einleitung
Die Datenschutz-Grundverordnung (DSGVO) hat sich zum Ziel gesetzt, einen verbesser-
ten Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesonde-
re ihres Rechts auf Schutz personenbezogener Daten zu bewirken. 1 Hierfür ist ent-
scheidend, wie die Einhaltung der Vorschriften der Datenschutz-Grundverordnung
kontrolliert und durchgesetzt werden kann. Um bei Verstößen die Handlungsmöglich-
keiten der Aufsichtsbehörden zu verbessern, wurde das Sanktionsregime der Daten-
schutz-Grundverordnung – im Vergleich zum bisherigen Sanktionsregimen, etwa nach
der alten Fassung des Bundesdatenschutzgesetzes (im Folgenden: BDSG a. F.) – deut-
lich verschärft.
Die Datenschutzrichtlinie aus dem Jahr 1995 hatte die Gestaltung des Sanktionsre-
gimes noch den Mitgliedstaaten überlassen. Dies hatte zur Folge, dass die rechtlichen
Sanktionsinstrumente in den Mitgliedstaaten uneinheitlich ausgestaltet waren; in eini-
gen Mitgliedstaaten war es Datenschutzaufsichtsbehörden (im Folgenden: Aufsichtsbe-
hörden) etwa überhaupt nicht gestattet, Geldbußen zu verhängen. In Deutschland
konnten die Aufsichtsbehörden nach § 43 BDSG a. F. je nach Art des Verstoßes ledig-
lich Bußgelder bis zu 50.000 bzw. bis zu 300.000 Euro pro Verstoß verhängen; verein-
zelt wurden gegen einzelne Unternehmen als Spitzenwert Bußgelder in einer Gesamt-
höhe unter 2 Mio. Euro verhängt.2
Die Datenschutz-Grundverordnung schreibt nunmehr einheitliche und spürbare Sankti-
onen vor. Seit Wirksamwerden der Datenschutz-Grundverordnung am 25. Mai 2018
beträgt die maximale Geldbuße nach Art. 83 DSGVO für Datenschutzverstöße bis zu 20
Mio. Euro. Gegen Unternehmen sind noch deutlich höhere Geldbußen möglich: Hier
können die Aufsichtsbehörden Geldbußen von bis zu vier Prozent des weltweiten Um-
satzes des Vorjahres verhängen. Die Regelungen zur angedrohten Bußgeldhöhe sind
vom Kartellrecht geprägt und von dem Ziel geleitet, von Datenschutzverstößen „abzu-
schrecken“.3
Trotz Erweiterung der Sanktionsmöglichkeiten ist die befürchtete „Sanktionswelle“ seit
dem 25. Mai 2018 bislang ausgeblieben: Es wurden nicht – wie vielfach kolportiert –
Hunderte Bußgeldbescheide an Blogger, Bäckereien oder Sportvereine zugestellt; auch
haben die Aufsichtsbehörden nicht die Zentralen von IT-Unternehmen gestürmt.4 Den-
noch sind einige Fälle bekannt geworden, die zeigen, dass die Aufsichtsbehörden in
Deutschland und in anderen Mitgliedstaaten vermehrt Unternehmen prüfen und Ver-
stöße gegen die Datenschutz-Grundverordnung konsequent ahnden: So hat der Lan-
desbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden Württemberg
gegen das Chatportal „Knuddels“ ein Bußgeld in Höhe von 20.000 Euro verhängt, da
dem Portal nach einem Hacking-Angriff die Passwörter, E-Mail-Adressen und Pseudo-
nyme von rund 330.000 Nutzern entwendet und auf einer Filesharing-Website angebo-
ten wurden. Dass die Geldbuße eher „milde“ ausfiel, hing mit der Bereitschaft des
Verantwortlichen zusammen, mit der zuständigen Datenschutzbehörde zu kooperie-
ren.5 Ein Bußgeld-Fall, der über die Grenzen des Mitgliedstaates Aufmerksamkeit erregt
hat, wurde in Portugal erlassen: Die portugiesische Aufsichtsbehörde hat einem Kran-
kenhaus ein Bußgeld in Höhe von 400.000 Euro auferlegt, weil auf die Patientendaten,
die nur für Ärzte einsehbar sein sollten, auch von Technikern zugegriffen werden konn-
te.6 Deutlich höher fiel das Bußgeld gegen Google LLC aus: Die französische Daten-
schutzbehörde Commission Nationale de L’Informatique et des Libertés (CNIL) hat ge-
gen Google eine Rekordstrafe in Höhe von 50 Mio. Euro verhängt. Die Behörde sieht
gleich zwei Verstöße von Google gegen die Datenschutz-Grundverordnung: Zum einen
missachte der Konzern die Pflicht nach Art. 5, 13 und 14 DSGVO, seine Nutzer transpa-
rent über die Datennutzung zu informieren; zum anderen könne der Konzern keine
wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen. 7
Gesetz halten
3.5 Gewinnabschöpfung
Verstöße gegen datenschutzrechtliche Vorgaben führen häufig zu einem nicht zu un-
terschätzenden direkten finanziellen Vorteil. Um Unternehmen keinen Anreiz zu bieten,
mittels einfacher Kosten-Nutzen-Rechnung trotz Bußgeldandrohung Datenschutzver-
stöße zu begehen, sieht das Bundesdatenschutzgesetz an verschiedenen Stellen als
zusätzliche Sanktion vor, den entstandenen Gewinn abzuschöpfen.
Nach § 43 Abs. 3 Satz 2 BDSG a. F. durften Geldbußen den wirtschaftlichen Vorteil,
den der Verantwortliche aus einer Ordnungswidrigkeit gezogen hat, übersteigen; hier-
für durften nach Satz 3 sogar der vorgesehene Bußgeldrahmen von 50.000 bis
300.000 Euro überschritten werden. Ähnlich formuliert § 17 Abs. 4 OWiG, dass die
Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit ge-
zogen hat, übersteigen soll. Noch deutlicher erlaubt etwa § 73 StGB die Einziehung des
erlangten Gewinns oder Nutzens (bei Straftaten), nach § 10 des Gesetzes gegen den
unlauteren Wettbewerb (UWG) die Herausgabe des Gewinns sowie nach § 29a Abs. 1
OWiG die Einziehung eines Geldbetrages bis zu der Höhe, die dem Wert des Erlangten
entspricht.
Die Datenschutz-Grundverordnung enthält keine solch explizite Regelung. Aber auch
die Bußgeldvorschriften der Verordnung sehen eine Berücksichtigung des daraus gezo-
genen Gewinns vor. Nach Art. 83 Abs. 2 lit. k DSGVO stellt der durch den Verstoß
erlangte finanzielle Vorteil oder vermiedene Verlust einen erschwerenden Umstand im
Einzelfall dar, der bei der Höhe des zu verhängenden Bußgeldes zu berücksichtigen ist,
damit dieses nach Art. 83 Abs. 1 DSGVO „wirksam, verhältnismäßig und abschre-
ckend“ ist. Dies kann aber dazu führen, dass das Bußgeld zwar höher ausfällt, es wird
aber nicht zwingend der gesamte erlangte finanzielle Gewinn abgeschöpft, da Abs. 2
lit. k nur einer unter vielen genannten Abwägungsgesichtspunkten darstellt. Letztlich
liegt die Bestimmung der Höhe des Bußgeldes im Ermessen der Behörde. Außerdem
obliegen die Geldbußen des Art. 83 Abs. 4 bis 6 DSGVO den dort genannten Ober-
grenzen.
Um eine effektive Sanktionierung zu erreichen und von Datenschutzverstößen abzu-
schrecken, ist es durchaus sinnvoll, den durch den Datenschutzverstoß erlangten Ge-
winn zu entziehen. Dabei bietet es sich an, im Rahmen des Art. 83 Abs. 2 lit. k DSGVO
im Rahmen des Auswahlermessens den Umstand der Gewinnerzielung unberücksich-
tigt zu lassen und dafür zusätzlich auf § 29a OWiG zurückzugreifen, um den – dann
jedoch genau zu ermittelnden – Gewinn zugunsten der Staatskasse einzuziehen.
Die Bearbeitung von Eingaben und Beschwerden betroffener Personen stellte auch
unter der Datenschutzrichtlinie eine wichtige Aufgabe der Aufsichtsbehörden dar. Die
Vorgaben der Datenschutz-Grundverordnung in Bezug auf die Frage, wie mit einer
Eingabe zu verfahren ist, sind allerdings deutlich strenger: Die Aufsichtsbehörden sind
nach Art. 77 und 78 DSGVO verpflichtet, sich mit jeder eingehenden Beschwerde zu
befassen, diese „angemessen“ zu untersuchen und den Beschwerdeführer innerhalb
von drei Monaten über Fortgang und Ergebnis der Beschwerde zu unterrichten. Ge-
schieht dies nicht, können Beschwerdeführer sie auf Untätigkeit verklagen. 90 Neu hinzu
kommt zudem die Möglichkeit der Verbandsklage nach Art. 80 Abs. 1 DSGVO. Zur
Vertretung der betroffenen Personen sind in Deutschland nur Verbraucherschutzver-
bände im Sinne von § 3 und 4 Unterlassungsklagegesetz (UKlaG) berechtigt. Ein eigen-
ständiges Klage- und Beschwerderecht gibt es in Deutschland nicht. 91 Als Vertreter
betroffener Personen können die Verbände aber alle Ansprüche betroffener Personen,
etwa auf Löschung, Berichtigung oder Schadenersatz, geltend machen. Durch den
dadurch entstehenden größeren öffentlichen Druck auf die Verantwortlichen entsteht
ein Anreiz zu datenschutzkonformen Verhalten. 92 Zudem dürfte die Möglichkeit auf
Musterfeststellungsklagen nach dem Gesetz zur Einführung einer zivilprozessualen
Musterfeststellungsklage den Druck auf die Verantwortlichen weiter erhöhen.
Während sich bei der Bußgeldpraxis der Aufsichtsbehörden weitgehend Einigkeit ab-
zeichnete, gab es klare Differenzen in der Frage, welche Rolle die Beratung der Ver-
antwortlichen (d.h. Unternehmen und Verwaltungsbehörden) in der Aufsichtspraxis
unter der Datenschutz-Grundverordnung zu spielen habe.
„Beratung“ umfasst in diesem Kontext vor allem vier Tätigkeitsbereiche, deren Umset-
zung den Aufsichtsbehörden prinzipiell obliegt:
- Erstens die Bereitstellung von Leitlinien, Handlungsempfehlungen, Stellung-
nahmen,107 Auslegungshilfen, Orientierungshilfen und Anwendungshinwei-
sen108 zur Umsetzung der – zum Teil hochabstrakten – materiellrechtlichen
Vorgaben der Datenschutz-Grundverordnung.
- Zweitens die Durchführung von Informationsveranstaltungen und Workshops
für betriebliche und behördliche Datenschutzbeauftragte sowie sonstige zu-
ständige Mitarbeiter der Verantwortlichen (z. B. Software-Entwickler), entwe-
der bei der Aufsichtsbehörde selbst oder im Rahmen von Tagungen und Schu-
lungsveranstaltungen von Verbänden oder sonstigen Veranstaltern.
- Drittens die Beantwortung von individuellen Beratungsanfragen und Diskussi-
on von datenschutzrechtlichen Problemen und möglichen Lösungen mit ein-
zelnen Verantwortlichen oder ihren Datenschutzbeauftragten, etwa auf Anfra-
ge der Ratsuchenden bei der Aufsichtsbehörde oder im Rahmen von regelmä-
ßigen „Sprechstunden“, wie sie manche Aufsichtsbehörden z. B. für Startups
anbieten.
- Viertens regelmäßige Treffen (in jährlichem bis vierteljährlichem Turnus) mit
den größten und datenverarbeitungsintensivsten Unternehmen des jeweiligen
Insbesondere die erste, zweite und dritte Form von Beratung wurde von allen inter-
viewten Aufsichtsbehörden bisher angeboten. In den Monaten vor und unmittelbar
nach dem 25. Mai 2018 wurde das Beratungsangebot in der Regel erheblich ausgewei-
tet, auch als Reaktion auf die dramatisch gestiegene Nachfrage, die das Angebot meist
um ein Vielfaches überstieg. Alle Interviewpartner glaubten ferner, dass die gezielte
Beratung von Verantwortlichen einen erheblichen Mehrwert erzeugt, und zwar für
beide Seiten: Die Verantwortlichen erhielten ein besseres Verständnis, welche Maß-
nahmen nötig seien, um Datenschutzkonformität sicherzustellen (auch wenn die Inter-
viewpartner klarstellten, dass sie im Rahmen von Beratungen grundsätzlich keine ver-
bindliche Gewährleistung für die Rechtskonformität einer besprochenen Verarbeitung
übernehmen könnten und würden). Umgekehrt erhielten die Aufsichtsbehörden besse-
re Einblicke in die Verarbeitungen, die tatsächlich stattfinden, und in damit verbundene
Probleme. Sie könnten so direkt auf die Anhebung des allgemeinen Datenschutzni-
veaus hinwirken.
Wo die Positionen der Interviewpartner zum Teil auseinandergingen, war die Frage,
welche Rolle Beratung vor allem von Unternehmen künftig zu spielen habe. Während
manche Interviewpartner Beratung weiterhin als einen sehr wichtigen Teil ihrer Auf-
sichtspraxis verstanden, die sie auch institutionell von anderen Aufgaben (z. B. Kontrol-
len, Bußgeldern) zu trennen versuchten, sahen andere die Beratung von nicht-
öffentlichen Verantwortlichen als eine bestenfalls periphere Aufgabe. Hier traten auch
unterschiedliche Interpretationen der Datenschutz-Grundverordnung zum Vorschein.
So argumentierte ein Landesbeauftragter, dass unter der Datenschutz-
Grundverordnung die Beratung von Unternehmen schlicht nicht länger in seinen „pri-
mären Befugniskatalog und Zuständigkeits- und Funktionsbereich“ falle. Während man
schon versuche, auch Beratungstätigkeit zu leisten, könne das jetzt nur noch „bedingt“
geschehen. Vorrang müsse die Abarbeitung des in Art. 57 DSGVO definierten, ver-
pflichtenden Aufgabenkatalogs haben. Soweit nach der Erfüllung dieser Aufgaben
noch Kapazität frei sei, könnte die Aufsichtsbehörde auch Beratung leisten – aber nicht
vorher.109 Diese Position wurde keineswegs von allen geteilt. Mehrere andere Ge-
sprächspartner betonten ganz im Gegenteil, dass für sie Beratung weiterhin eine zent-
rale Aufgabe sei, die sich ihrer Lesart zufolge auch aus dem Art. 57 DSGVO ergäbe und
für die sie zum Teil auch dedizierte Personalkapazitäten bereitstellten.
Eine noch offene Frage ist, wie sich Beratung mit einer härteren Sanktionspraxis verein-
baren lässt. Interessanterweise betonten gerade mehrere der Landesbehörden, die
weiterhin Beratung als wichtigen Teil ihrer Arbeit sehen, ebenfalls die Notwendigkeit
wesentlich höherer Bußgelder und intensivere Kontrollen. In der Tat haben gerade
diese Behörden auch in der Vergangenheit keineswegs vor der Durchsetzung ver-
gleichsweise hoher Bußgelder zurückgeschreckt. Insofern dürfte die – prinzipiell plau-
sible – Sorge, dass intensivierte Beratung am Ende zur Vereinnahmung der Behörde
durch die Wirtschaft („regulatory capture“) 110 führt, eher unbegründet sein. Im Gegen-
teil berichteten gerade Behörden, die einen Schwerpunkt auf Beratung nicht-
öffentlicher Stellen legen, wiederholt, von betrieblichen Datenschutzbeauftragten und
der Industrie allgemein, geradezu aufgefordert worden zu sein, doch gegenüber nicht-
datenschutzkonformen Unternehmen hart durchzugreifen.
Es stellt sich jedoch die Frage, ob harte Sanktionierung einer effektiven Beratungspraxis
nicht insofern im Wege stehen könnte, als dass Unternehmen aus Angst vor Bußgel-
dern künftig davon absehen könnten, den Rat der Aufsichtsbehörden zu suchen. Dies
birgt insofern Risiken, als dass nach Art. 83 Abs. 2 lit. h DSGVO bei einer Entscheidung
über die Verhängung einer Geldbuße und über deren Höhe insbesondere zu berück-
sichtigen ist, ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der
Auftragsverarbeiter den Verstoß mitgeteilt hat. Wird der Verstoß also letztlich dennoch
E Personalberatung 1 Geschäftsführung
Hinsichtlich der Frage, ob Geldbußen oder andere Faktoren der Antrieb für die Umset-
zung der neuen Vorgaben seien, wiesen die Unternehmen den Geldbußen eine ent-
scheidende Rolle zu, führten aber auch andere Faktoren an, die für sie eine zentrale
Rolle spielen. Die neuen Sanktionen sind nach Aussagen der Interviewpartner der Mo-
tor, andererseits wurde von den Unternehmen nicht erwartet, dass mit Geltung der
5.1 Voraussetzungen
Um dies zu erreichen, müssen die Aufsichtsbehörden zunächst grundsätzlich in der
Lage sein, ihre Abhilfebefugnisse effektiv auszuüben. Die Wichtigkeit dessen zeigt sich
nicht zuletzt in den Aussagen einiger Unternehmen ihr eigenes Handeln in Abhängig-
keit der Durchsetzungsfähigkeit der Behörden zu stellen. Wesentlich für die Effektivität
der Behörden ist demnach, dass mögliche Verstöße umfassend untersucht und Verar-
beitungsverfahren geprüft werden können. Die Befugnisse der Aufsichtsbehörden ge-
mäß Art. 58 Abs. 1 lit. a und b DSGVO sind zwar bezüglich der Überprüfung der Ver-
arbeitungstätigkeiten der Verantwortlichen und Auftragsverarbeiter umfassend ausge-
staltet. Allerdings erfordern solche Überprüfungen die Analyse komplexer Zusammen-
hänge und die Untersuchung sowohl technischer als auch rechtlicher Aspekte der Ver-
arbeitung.
Dabei sind die Aufsichtsbehörden in vielen Fällen auf die Verantwortlichen und
Auftragsverarbeiter angewiesen, da diese die Verarbeitung vornehmen und damit auch
über die entsprechenden Informationen verfügen. Daher haben die Aufsichtsbehörden
gemäß Art. 58 Abs. 1 lit. a DSGVO die Untersuchungsbefugnis bezüglich der Bereitstel-
lung aller erforderlichen Informationen.
Bezüglich der Mitwirkungspflicht des Verantwortlichen gilt allerdings der „Nemo-
tenetur“-Grundsatz, der sich aus Art. 47 Abs. 2 und Art. 48 Abs. 1 Grundrechtecharta
(GrCh) ergibt und nach dem sich Beschuldigte nicht selbst belasten müssen. 126 Aller-
dings entbindet dieser Grundsatz den Verantwortlichen nicht von der Pflicht, der Auf-
sichtsbehörde Informationen bereitzustellen. Auskunftsverweigerungsrechte dürfen nur
geltend gemacht werden, wenn verlangt würde, dass der Verantwortliche das Vorlie-
gen einer Zuwiderhandlung eingesteht, für die die Aufsichtsbehörde beweispflichtig
ist.127 Dies ist etwa in § 42 Abs. 4 BDSG umgesetzt, wonach Meldungen und Benach-
richtigungen nach Art. 33 f. DSGVO in einem Strafverfahren nur mit Zustimmung des
Meldepflichtigen oder Benachrichtigenden verwendet werden dürfen.
Damit die Untersuchungen der Aufsichtsbehörden in der von Art. 8 Abs. 3 GrCh gefor-
derten Unabhängigkeit geschehen können, müssen diese mit den Ressourcen ausge-
stattet werden, die erforderlich sind, um sie in der gebotenen Tiefe und in einer ange-
messenen Vielzahl von Fällen durchführen zu können. 128 Dabei muss sichergestellt sein,
dass die Behörden nicht nur reaktiv auf Beschwerden betroffener Personen hin han-
deln, sondern auch proaktiv eigene Überprüfungen anstoßen können.
Allerdings ist es nicht in jedem Fall realistisch, dass die Aufsichtsbehörden auf externe
Ressourcen verzichten können. Wenn im Rahmen einer datenschutzrechtlichen Über-
prüfung Verstöße festgestellt werden, schließt sich ein Verfahren gegen den entspre-
chenden Verantwortlichen an. Kommt es dabei zu einer gerichtlichen Auseinanderset-
zung, muss sichergestellt sein, dass die Aufsichtsbehörde vor Gericht angemessen ver-
treten ist. Aufgrund der Komplexität und Eigenheiten des Prozessrechts, das im Daten-
schutzrecht neben den nationalen Instanzen auch Verfahren vor den Gerichten der
Europäische Union beinhalten kann, kann es geboten sein, dass sich eine Aufsichtsbe-
Zusammenfassend ist festzustellen, dass sich eine gewisse Zweigleisigkeit in der Auf-
sichtspraxis der Behörden unter der Datenschutz-Grundverordnung abzeichnet. Einer-
seits ist damit zu rechnen, dass der neue Bußgeldrahmen sowie die allgemeinere Erwar-
tung, Vollzugsdefizite zu beheben, zumindest mittelfristig zu einer schärferen Sanktio-
nierung von Datenschutzverstößen führen wird. Denn die neuen Regelungen ermögli-
chen eine effektive Sanktionierung von Rechtsverstößen und damit genau den Grad an
Rechtsdurchsetzung, dessen Fehlen unter der Datenschutzrichtlinie stets beklagt wur-
de. Durch die Erhöhung des Bußgeldrahmens ist es nun möglich, bei gravierenden oder
wiederholten Verstößen deutlich höhere Geldbußen zu verhängen.
Andererseits sind die Aufsichtsbehörden insgesamt mit der Durchsetzung des Daten-
schutzrechts beauftragt und damit nicht auf die Rolle als Bußgeldstelle reduziert. Die
Geldbußen stellen nur ein Mittel zum Zweck dar. Bei Unternehmen und anderen Orga-
nisationen, die sich ernsthaft bemühen, Datenschutz umzusetzen, werden die Auf-
sichtsbehörden voraussichtlich bei offenen Fragen weiterhin zunächst auf Hilfestellung
setzen. Wie geschildert, ist der Spagat zwischen Berater und Aufseher, den die Auf-
sichtsbehörden dabei zum Teil auszuführen versuchen, nicht einfach, und wird viel
Kommunikationsgeschick erfordern.
Ein dynamisches Element in dem sich unter der Datenschutz-Grundverordnung entwi-
ckelnden Aufsichtsregime sind die Eingaben und Beschwerden aus der Bevölkerung.
Der massive Anstieg von Beschwerden könnte ein Zeichen für ein geschärftes Daten-
schutzbewusstsein in der Bevölkerung sein. Scheinbar machen zumindest jene Men-
schen, die das Ausmaß der alltäglichen Verarbeitung ihrer personenbezogener Daten
als störend empfinden, zunehmend Gebrauch vom Beschwerdeweg, anstatt die fragli-
chen Datenverarbeitungen einfach hinzunehmen.
Für die Aufsichtsbehörden bedeutet die steigende Anzahl an Beschwerden einerseits
massive Mehrarbeit und eine (ressourcenbedingte) Beschränkung ihrer Möglichkeiten,
eigene Prioritäten in der Aufsicht zu setzen. Andererseits zeigen die Beschwerden, dass
die Regelungen der Datenschutz-Grundverordnung auf erhebliche Resonanz stoßen
und es einen großen Bedarf für Datenschutzaufsicht gibt. Zudem bieten die Beschwer-
den den Aufsichtsbehörden die Möglichkeit, Informationen zu Verstößen zu erlangen,
die ihnen sonst womöglich entgangen wären. Auch nutzen zunehmend Unternehmen
die Beschwerdemöglichkeiten, um Aufsichtsbehörden auf für Außenstehende nur
schwer einsehbare Verstöße hinzuweisen. Dabei wird es wichtig sein, dass die Auf-
sichtsbehörden standardisierte und rechtssichere Abläufe entwickeln, um häufig auftre-
tende Beschwerden oder Bagatellfälle möglichst ressourcenschonend zu bearbeiten.
Die begrenzten Ressourcen der Aufsichtsbehörden erschweren auch die effektive
Rechtsdurchsetzung. Soweit es keine signifikanten Mittelerhöhungen geben sollte, ist
es für viele Aufsichtsbehörden eine kaum zu bewältigende Herausforderung, für einen
effektiven Datenschutz zu sorgen. Dazu gehört auch die Notwendigkeit, komplexe Fälle
in oft langwierigen Prozessen gerichtlich klären zu lassen. Aufgrund dieser Beschrän-
kungen und der durch die Datenschutz-Grundverordnung ohnehin erweiterten Ab-
stimmungserfordernisse zwischen den Behörden können mangelnde Ressourcen jedoch
teilweise durch vertiefte Zusammenarbeit und Abstimmung ausgeglichen werden. Da-
bei ist zum Beispiel denkbar, dass sich Aufsichtsbehörden bezüglich der Verfolgung
systematischer Verletzungen in bestimmtem Maße spezialisieren. Dies geschieht heute
schon im Rahmen von Arbeitsgruppen oder Taskforces und kann zukünftig noch erwei-
tert werden. Nichtsdestotrotz ist es unabdingbar, dass den Datenschutzaufsichtsbehör-
den ausreichend Ressourcen (finanzielle Mittel und Personal) zur Verfügung gestellt
Anger, Heike; Neuerer, Dietmar (2019): Behörden verhängen erste Bußgelder wegen
Verstößen gegen DSGVO. In: Handelsblatt, 18.01.2019. Online verfügbar unter
https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-
behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-
dsgvo/23872806.html?ticket=ST-2213537-uaP4TgvVDzFlg9TLfpRP-ap2, zuletzt ge-
prüft am 24.01.2019.
Bamberger, Kenneth A. and Mulligan, Deirdre K. (2011): New Governance, Chief Pri-
vacy Officers, and the Corporate Management of Information Privacy in the United
States. An Initial Inquiry. In: Law & Policy 33 (4), S. 477–508. DOI: 10.1111/j.1467-
9930.2011.00351.x.
Bamberger, Kenneth A. and Mulligan, Deirdre K. (2013): Privacy in Europe: Initial Data
on Governance Choices and Corporate Practices. In: George Washington Law Review
81 (5), S. 1529–1664.
Bamberger, Kenneth A. and Mulligan, Deirdre K. (2015): Privacy on the ground. Driving
corporate behavior in the United States and Europe. Cambridge, Massachusetts: The
MIT Press (Information policy series).
BDJ (2018). Newsletter No. 1. Hg. v. BDJ Versicherungsmakler GmbH & Co. KG. Online
abrufbar unter
https://www.bdj.de/fileadmin/files/newsletter/BDJ_No1_Ausgabe28.pdf, zuletzt ge-
prüft am 20.02.2019.
Becker, Gary S. (1968): Crime and Punishment. An Economic Approach. In: Journal of
Political Economy 76 (2), S. 169–217. DOI: 10.1086/259394.
Braithwaite, John; Makkai, Toni (1991): Testing an Expected Utility Model of Corporate
Deterrence. In: Law & Society Review 25 (1), S. 7. DOI: 10.2307/3053888.
Braun, Steffen (2019): Kooperation oder Konfrontation? Erste Bußgelder nach DS-
GVO. In: Newsdienst ZD-aktuell. Nr. 06445.
Braun, Steffen; Hohmann, Carolin (2018): Sanktionen, in: Roßnagel, Alexander (Hg.),
Das neue Datenschutzrecht. Europäische Datenschutz-Grundverordnung und deut-
sche Datenschutzgesetze. Baden-Baden: Nomos, § 6 Rn. 126 – 161.
Bundesamt für Justiz (2019). Hg. v. Bundesamt für Justiz. Bundesamt für Justiz. Bonn.
Online verfügbar unter
https://www.bundesjustizamt.de/DE/SharedDocs/Publikationen/Verbraucherschutz/Lis
te_qualifizierter_Einrichtungen.pdf?__blob=publicationFile&v=32, zuletzt geprüft am
05.04.2019.
Burby, Raymond J.; Paterson, Robert G. (1993): Improving Compliance with State Envi-
ronmental Regulations. In: Journal of Policy Analysis and Management 12 (4), S. 753.
DOI: 10.2307/3325349.
CMS (2019): CNIL verhängt EUR 50 Mio. DSGVO-Bußgeld gegen Google LLC. In: CMS
Blog, 23.01.2019. Online verfügbar unter: https://www.cmshs-
bloggt.de/tmc/datenschutzrecht/dsgvo-bussgeld-google-cnil-eur-50-mio/, zuletzt ge-
prüft am 20.02.2019.
Craig Smith, N.; Simpson, Sally S.; Huang, Chun-Yao (2007): Why Managers Fail to do
the Right Thing. An Empirical Study of Unethical and Illegal Conduct. In: Bus. Ethics
Q. 17 (04), S. 633–667. DOI: 10.1017/S1052150X00002633.
Cyert, Richard Michael; March, James G. (2006): A behavioral theory of the firm. 2. ed.,
[Nachdr.]. Malden, Mass.: Blackwell.
Die Welt (02.08.2018): Kita schwärzt Gesichter in Fotoalben. Online verfügbar unter
https://www.welt.de/vermischtes/article180429010/Datenschutz-Kita-schwaerzt-
Gesichter-in-Fotoalben.html, zuletzt geprüft am 23.01.2019.
Edelman, Lauren B.; Talesh, Shauhin A. (2011): To Comply or Not to Comply – That
Isn’t the Question. How Organizations Construct the Meaning of Compliance. In:
Christine Parker, Vibeke Lehmann Nielsen und Neil Gunningham (Hg.): Explaining
Compliance // Strategizing Compliance and Enforcement. Business Responses to
Regulation // Responsive Regulation and Beyond. Cheltenham: Edward Elgar Publish-
ing.
Fahrun, Joachim (2019): Berliner fordern mehr Datenschutz. In: Berliner Morgenpost,
22.01.2019. Online verfügbar unter unter
https://www.morgenpost.de/berlin/article216261597/In-Berlin-gibt-es-mehr-
Beschwerden-zum-Datenschutz.html, zuletzt geprüft am 05.02.2019.
Faure, Michael; Ogus, Anthony; Philipsen, Niels (2009): Curbing Consumer Financial
Losses. The Economics of Regulatory Enforcement. In: Law & Policy 31 (2), S. 161–
191. DOI: 10.1111/j.1467-9930.2009.00299.x.
FAZ (2018): 400.000 Euro Strafe für DSGVO-Verstoß. In: Frankfurter Allgemeine Zei-
tung, 23.10.2018. Online verfügbar unter
https://www.faz.net/aktuell/wirtschaft/diginomics/dsgvo-strafe-krankenhaus-in-
portugal-muss-400-000-euro-zahlen-15852321.html, zuletzt geprüft am
20.02.2019.
Gioia, Dennis A. (1992): Pinto fires and personal ethics. A script analysis of missed op-
portunities. In: J Bus Ethics 11 (5-6), S. 379–389. DOI: 10.1007/BF00870550.
Golla, Sebastian J. (2018): Das Opportunitätsprinzip für die Verhängung von Bußgel-
dern nach der DSGVO. Oder: How I Learned to Stop Worrying about Fines and Love
the GDPR. In: Computer und Recht (CR), Heft 6, 353-357.
Gunningham, Neil; Kagan, Robert A.; Thornton, Dorothy (2004): Social License and
Environmental Protection. Why Businesses Go Beyond Compliance. In: Law & Social
Inquiry 29 (2), S. 307–341. DOI: 10.1111/j.1747-4469.2004.tb00338.x.
Heidrich, Joerg (2019): DSGVO: 5000 Euro Bußgeld für fehlenden Auftragsverarbei-
tungsvertrag. In: heise online, 20.01.2019. Online verfügbar unter
https://www.heise.de/-4282737, zuletzt geprüft am 01.02.2019.
IHK Südthüringen (18.01.2019): Reden ist Silber, Schweigen ist Gold. Suhl. Online ver-
fügbar unter https://www.ihk-suhl.de/www/ihkst/data/artikel-
detail.html?recordid=1686020164F, zuletzt geprüft am 05.02.2019.
Jaksch, Christoph; Alt Christian (2019) Rolle des Datenschutzbeauftragten und der
Datenschutzorganisation bei der Implementierung des vernetzten Fahrzeuges, in:
Roßnagel, Alexander; Hornung, Gerrit (Hg.): Grundrechtsschutz im Smart Car, Wies-
baden: Springer Vieweg (Research), i.E.
Jandt, Silke; Steidle, Roland (2018): Datenschutz im Internet. Hg. v. Jandt, Silke; Steidle,
Roland. Baden-Baden: Nomos.
Kagan, Robert A.; Gunningham, Neil; Thornton, Dorothy (2011): Fear, Duty, and Regu-
latory Compliance. Lessons from Three Research Projects. In: Christine Parker, Vibeke
Lehmann Nielsen und Neil Gunningham (Hg.): Explaining Compliance // Strategizing
Compliance and Enforcement. Business Responses to Regulation // Responsive Regu-
lation and Beyond. Cheltenham: Edward Elgar Publishing.
Ko, Kilkon; Mendeloff, John; Gray, Wayne (2010): The role of inspection sequence in
compliance with the US Occupational Safety and Health Administration's (OSHA)
standards. Interpretations and implications. In: Regulation & Governance 4 (1), S. 48–
70. DOI: 10.1111/j.1748-5991.2010.01070.x.
Lewis-Beck, Michael S.; Alford, John R. (1980): Can Government Regulate Safety? The
Coal Mine Example. In: Am Polit Sci Rev 74 (03), S. 745–756. DOI:
10.2307/1958155.
Makkai, Toni; Braithwaite, John (1994): The Dialectics of Corporate Deterrence. In:
Journal of Research in Crime and Delinquency 31 (4), S. 347–373. DOI:
10.1177/0022427894031004001.
March, James G.; Simon, Herbert Alexander; Guetzkow, Harold (1994): Organizations.
2. ed., reprinted (twice). Cambridge, Mass.: Blackwell.
May, Peter J.; Winter, Søren C. (2011): Regulatory Enforcement Styles and Compliance.
In: Christine Parker, Vibeke Lehmann Nielsen und Neil Gunningham (Hg.): Explaining
Compliance // Strategizing Compliance and Enforcement. Business Responses to
Regulation // Responsive Regulation and Beyond. Cheltenham: Edward Elgar Publish-
ing.
May, Peter J.; Winter, Sren (1999): Regulatory enforcement and compliance. Examining
Danish agro-environmental policy. In: Journal of Policy Analysis and Management 18
(4), S. 625–651. DOI: 10.1002/(SICI)1520-6688(199923)18:4<625::AID-
PAM5>3.0.CO;2-U.
Meyer, Jürgen (2014): Charta der Grundrechte der Europäischen Union. Hg. v. Meyer,
Jürgen. 4. Auflage. Baden-Baden: Nomos. Zitiert: Autor, in: Meyer 2014.
Parker, Christine (2002): The Open Corporation. Cambridge and New York: Cambridge
University Press. DOI: 10.1017/CBO9780511550034.
Parker, Christine; Lehmann Nielsen, Vibeke (2011): Introduction. In: Christine Parker,
Vibeke Lehmann Nielsen und Neil Gunningham (Hg.): Explaining Compliance //
Strategizing Compliance and Enforcement. Business Responses to Regulation // Re-
sponsive Regulation and Beyond. Cheltenham: Edward Elgar Publishing.
Parker, Christine; Nielsen, Vibeke Lehmann (2008): Corporate Compliance Systems. In:
Administration & Society 41 (1), S. 3–37. DOI: 10.1177/0095399708328869.
Peteranderl, Sonja (2019): „Fehler werden jetzt teuer“. In: Spiegel Online, 24.01.2019.
Online verfügbar unter http://www.spiegel.de/netzwelt/netzpolitik/dsgvo-strafen-
fehler-werden-jetzt-teuer-a-1249443.html, zuletzt geprüft am 25.01.2019.
Popitz (1980): Die normative Konstruktion von Gesellschaft. Tübingen: Mohr Siebeck
Gmbh & Co. KG.
Rosenbach, Marcel (2018): „Es wird kein Pardon geben“. Neue Datenschutzregeln. In:
Spiegel Online, 02.02.2018. Online verfügbar unter
http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-verordnung-deutsche-
unternehmen-sind-schlecht-vorbereitet-a-1191075.html, zuletzt geprüft am
23.01.2019.
Rundblick (2018): Schadet der Datenschutz dem Ehrenamt? SPD und CDU wollen den
Vereinen helfen. In: Rundblick. Politikjournal für Niedersachsen, 13.09.2018. Online
verfügbar unter https://www.rundblick-niedersachsen.de/schadet-der-datenschutz-
Scholz, John T. (1997): Enforcement Policy and Corporate Misconduct. The Changing
Perspective of Deterrence Theory. In: Law and Contemporary Problems 60 (3), S. 253.
DOI: 10.2307/1192014.
Schütz, Philip (2018): Zum Leben zu wenig, zum Sterben zu viel? Die finanzielle und
personelle Ausstattung deutscher Datenschutzbehörden im Vergleich. In: Alexander
Roßnagel, Michael Friedewald und Marit Hansen (Hg.): Die Fortentwicklung des Da-
tenschutzes. Zwischen Systemgestaltung und Selbstregulierung. Wiesbaden: Springer
Vieweg (DuD-Fachbeiträge), S. 251–268.
Simitis, Spiros; Hornung, Gerrit; Spiecker, gen. Döhmann, Indra (2019): Datenschutz-
recht, DSGVO mit BDSG, Kommentar. Hg. v. Simitis, Spiros; Hornung, Gerrit; Spieker,
gen. Döhmann, Indra. Baden-Baden: Nomos. Zitiert als Autor, in: Simi-
tis/Hornung/Spiecker gen. Döhmann 2019.
Simpson, Sally S.; Piquero, Nicole Leeper (2002): Low Self-Control, Organizational The-
ory, and Corporate Crime. In: Law & Society Review 36 (3), S. 509. DOI:
10.2307/1512161.
Simpson, Sally S.; Rorie, Melissa (2011): Motivating Compliance. Economic and Mate-
rial Motives for Compliance. In: Christine Parker, Vibeke Lehmann Nielsen und Neil
Gunningham (Hg.): Explaining Compliance // Strategizing Compliance and Enforce-
ment. Business Responses to Regulation // Responsive Regulation and Beyond. Chel-
tenham: Edward Elgar Publishing.
Statista (2019): Google's net income from 2001 to 2015 (in million U.S. dollars). Online
verfügbar unter https://www.statista.com/statistics/266472/googles-net-income/, zu-
letzt geprüft am 20.01.2019.
Stenzel, Christian (2018): „Unsere Kinder müssen programmieren lernen wie lesen und
schreiben“. Die neue Digitalministerin Dorothee Bär im Bild-Interview. In: Bild,
05.03.2018. Online verfügbar unter https://www.bild.de/politik/inland/dorothee-
baer/im-interview-55009410.bild.html, zuletzt geprüft am 23.01.2018.
Stigler, George J. (1970): The Optimum Enforcement of Laws. In: Journal of Political
Economy 78 (3), S. 526–536. DOI: 10.1086/259646.
Stigler, George J. (1971): The Theory of Economic Regulation. In: The Bell Journal of
Economics and Management Science 2 (1), S. 3. DOI: 10.2307/3003160.
Thornton, Dorothy; Gunningham, Neil A.; Kagan, Robert A. (2005): General Deterrence
and Corporate Environmental Behavior*. In: Law & Policy 27 (2), S. 262–288. DOI:
10.1111/j.1467-9930.2005.00200.x.
Thüringer Allgemeine (2018): IHK warnt vor Umfrage zum Datenschutz: Große Verun-
sicherung bei Thüringer Unternehmen. In: Thüringer Allgemeine, 19.12.2018. Online
verfügbar unter https://www.thueringer-allgemeine.de/web/zgt/wirtschaft/detail/-
/specific/IHK-warnt-vor-Umfrage-zum-Datenschutz-Grosse-Verunsicherung-bei-
Thueringer-Unte-1522889861, zuletzt geprüft am 05.04.2019.
Waldman, Ari Ezra (2018): Designing Without Privacy. In: Houston Law Review 55 (3).
Projektkoordination:
Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Breslauer Straße 48
76139 Karlsruhe
www.isi.fraunhofer.de
www.forum-privatheit.de
Schriftenreihe:
Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt
ISSN-Print 2199-8906
ISSN-Internet 2199-8914
1. Auflage
März 2019
Zitiervorschlag:
Martin et al. (2018): Das Sanktionsregime der Datenschutz-Grundverordnung:
Auswirkungen auf Unternehmen und Datenschutzaufsichtsbehörden. Hrsg.: Mi-
chael Friedewald et al., Forum Privatheit und selbstbestimmtes Leben in der digita-
len Welt, Karlsruhe: Fraunhofer ISI.
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell –
Keine Bearbeitungen 4.0 International Lizenz.
PROJEKTPARTNER
WWW.FORUM-PRIVATHEIT.DE